O ator de ameaça cibernética conhecido como TA569, ou SocGholish, comprometeu o código JavaScript usado por um provedor de conteúdo de mídia para espalhar o Atualizações Falsas malware para os principais meios de comunicação nos EUA.
De acordo com uma série de tweets da equipe de pesquisa de ameaças da Proofpoint postado na quarta-feira, os invasores adulteraram a base de código de um aplicativo que a empresa não identificada usa para veicular vídeos e publicidade em sites de jornais nacionais e regionais. O ataque à cadeia de abastecimento está sendo usado para espalhar o malware personalizado do TA569, que normalmente é empregado para estabelecer uma rede de acesso inicial para ataques subsequentes e entrega de ransomware.
A detecção pode ser complicada, alertaram os pesquisadores: “O TA569 historicamente removeu e restabeleceu essas injeções JS maliciosas de forma rotativa”, de acordo com um dos tweets. “Portanto, a presença da carga útil e do conteúdo malicioso pode variar de hora em hora e não deve ser considerada um falso positivo.”
Mais de 250 sites de jornais regionais e nacionais acessaram o JavaScript malicioso, com organizações de mídia afetadas atendendo cidades como Boston, Chicago, Cincinnati, Miami, Nova York, Palm Beach e Washington, DC, de acordo com a Proofpoint. No entanto, apenas a empresa de conteúdo de mídia afetada conhece toda a extensão do ataque e seu impacto nos sites afiliados, disseram os pesquisadores.
Os tweets citaram o analista de detecção de ameaças da Proofpoint Moleiro empoeirado, pesquisador sênior de segurança Kyle Eatone pesquisador sênior de ameaças André Norte para a descoberta e investigação do ataque.
Links históricos para a Evil Corp
FakeUpdates é um malware de acesso inicial e uma estrutura de ataque em uso desde pelo menos 2020 (mas potencialmente mais cedo), que no passado usava downloads drive-by disfarçados de atualizações de software para se propagar. Anteriormente, estava ligado à atividade do suposto grupo russo de crimes cibernéticos Evil Corp, que foi formalmente sancionado pelo governo dos EUA.
Os operadores normalmente hospedam um site malicioso que executa um mecanismo de download drive-by – como injeções de código JavaScript ou redirecionamentos de URL – que, por sua vez, aciona o download de um arquivo que contém malware.
Pesquisadores da Symantec observaram anteriormente a Evil Corp usando o malware como parte de uma sequência de ataque para baixar Desperdiçado, então uma nova cepa de ransomware, em redes alvo em julho de 2020.
Uma onda de ataques de download drive-by que usaram a estrutura seguida no final daquele ano, com os invasores hospedando downloads maliciosos aproveitando iFrames para fornecer sites comprometidos por meio de um site legítimo.
Mais recentemente, pesquisadores amarraram uma campanha de ameaça distribuir FakeUpdates por meio de infecções existentes do worm Raspberry Robin baseado em USB, um movimento que significou uma ligação entre o grupo cibercriminoso russo e o worm, que atua como um carregador para outros malwares.
Como abordar a ameaça à cadeia de suprimentos
A campanha descoberta pela Proofpoint é mais um exemplo de invasores que usam a cadeia de fornecimento de software para infectar códigos compartilhados em múltiplas plataformas, para ampliar o impacto de ataques maliciosos sem ter que trabalhar mais.
Na verdade, já houve numerosos exemplos do efeito cascata que estes ataques podem ter, com o agora infame SolarWinds e Log4J cenários estão entre os mais proeminentes.
O primeiro começou no final de dezembro de 2020 com uma violação no software SolarWinds Orion e espalhar profundamente no próximo ano, com vários ataques em diversas organizações. A última saga se desenrolou no início de dezembro de 2021, com a descoberta de uma falha apelidada Log4Shell in uma ferramenta de registro Java amplamente usada. Isso estimulou múltiplas explorações e tornou milhões de aplicações vulneráveis a ataques, muitas das quais permanecer sem patch hoje mesmo.
Os ataques à cadeia de abastecimento tornaram-se tão predominantes que os administradores de segurança procuram orientação sobre como preveni-los e mitigá-los, o que tanto o público como o público setor privado tive o prazer de oferecer.
Agora sobre o uma ordem executiva emitido pelo presidente Biden no ano passado, orientando as agências governamentais a melhorar a segurança e a integridade da cadeia de fornecimento de software, o Instituto Nacional de Padrões e Tecnologia (NIST) no início deste ano atualizou suas orientações de segurança cibernética para lidar com o risco da cadeia de fornecimento de software. O publicação inclui conjuntos personalizados de controles de segurança sugeridos para diversas partes interessadas, como especialistas em segurança cibernética, gerentes de risco, engenheiros de sistemas e funcionários de compras.
Os profissionais de segurança também têm ofereceu conselhos a organizações sobre como proteger melhor a cadeia de suprimentos, recomendando que eles adotem uma abordagem de confiança zero em relação à segurança, monitorem parceiros terceirizados mais do que qualquer outra entidade em um ambiente e escolham um fornecedor para necessidades de software que ofereça atualizações frequentes de código.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
